image

Spamfilters missen e-mails met gevaarlijke Emotet-malware

dinsdag 5 november 2019, 09:59 door Redactie, 14 reacties

Spamfilters hebben de nodige moeite met e-mails die de schadelijke Emotet-malware bevatten, zo stelt testlab Virus Bulletin op basis van eigen onderzoek naar zakelijke e-mailoplossingen. Naast virusscanners test het testlab ook maandelijks allerlei spamfilters.

In oktober zag onderzoeker Martijn Grooten van Virus Bulletin dat veel kwaadaardige e-mails de spamfilters wisten te omzeilen. Het ging om een derde van de zakelijke e-mailoplossingen. Verder onderzoek liet zien dat bijna alle gemiste kwaadaardige e-mails de Emotet-malware bleken te bevatten. Emotet wordt verspreid via Word-documenten met macro's. Het is een "modulaire malwarefamilie" die allerlei aanvullende malware op systemen kan installeren, zoals ransomware, maar ook wachtwoorden steelt en zelf zeer lastig te verwijderen is. De Duitse overheid noemde Emotet eerder nog de gevaarlijkste malware ter wereld.

Om ervoor te zorgen dat mensen de via e-mail verstuurde Word-documenten openen kan de malware meeliften op eerdere e-mails van al gemaakte slachtoffers om zo nieuwe slachtoffers te maken. Deze werkwijze maakt het lastiger voor spamfilters om de kwaadaardige berichten te stoppen. Bij de nieuwste spamberichten maakt Emotet gebruik van generieke berichten die ook lastig zijn te filteren. Daarnaast zijn de spamcampagnes waarmee Emotet wordt verspreid vrij klein. "Het versturen van miljoenen kopieën van hetzelfde bericht doet spammers meer kwaad dan goed", aldus Grooten.

Wat ook een belangrijke rol speelt is dat de spamberichten van gecompromitteerde mailservers worden verstuurd, waardoor de spammers in veel gevallen protocollen zoals Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM) weten te omzeilen, gaat Grooten verder. SPF moet voorkomen dat iemand in naam van een organisatie een e-mail kan versturen en DKIM moet het onderweg aanpassen van e-mails voorkomen. Het volledig testrapport van oktober moet nog verschijnen. Het laatste rapport van september is wel online (pdf) te vinden.

Reacties (14)
05-11-2019, 10:52 door Anoniem
Spamfilters? Ik snap dat het filteren van malware en van spam in dezelfde filter-infrastructuur kan worden uitgevoerd, en ook dat er spam is die malware bevat, maar zou je het tegenhouden van malware niet beter een malwarefilter kunnen noemen?
05-11-2019, 11:15 door Anoniem
Spamfilters missen Mallware. Dôh. Spam en Mallware zijn twee compleet verschillende dingen.

En SPF, DKIM en DMARC zijn mechanismen die moeten vast stellen of een mail source geautoriseerd is om mail namens een domein te versturen. Dat zegt he-le-maal niet over de inhoud. Het stelt hooguit (in het geval van DKIM) vast dat de content na het verlaten van de originerende mailserver de inhoud niet is veranderd.

Daarvoor moet naar de inhoud gekeken worden. Predictive content analisys dus. Maar dan nog, dat gaat over de inhoud en opmaak van een boodschap. Nog steeds geen malware detectie.

Dat anti-spam appliances *meestat* ook anti-malware voorzieningen hebben, maakt niet ineens dat een antispam functie ook mallware kan detecteren.
05-11-2019, 11:56 door Briolet
Door Anoniem: Spamfilters missen Mallware. Dôh. Spam en Mallware zijn twee compleet verschillende dingen.

Er staat ook nergens dat het hier om malware filters gaat. Malware wordt echter vaak als spam verstuurd. En omdat deze spam vaak vanaf gecompromitteerde servers verstuurd wordt, weet hij de spamchecks te omzeilen. Meer staat er niet. De rest is alleen een uitleg van de werking van Emotet malware.
05-11-2019, 12:58 door Bitje-scheef
Door Briolet:
Door Anoniem: Spamfilters missen Mallware. Dôh. Spam en Mallware zijn twee compleet verschillende dingen.

Er staat ook nergens dat het hier om malware filters gaat. Malware wordt echter vaak als spam verstuurd. En omdat deze spam vaak vanaf gecompromitteerde servers verstuurd wordt, weet hij de spamchecks te omzeilen. Meer staat er niet. De rest is alleen een uitleg van de werking van Emotet malware.

Nee tegenwoordig wordt bijna altijd gekozen voor een versie in stages waardoor de emails opzich geen malware bevatten, maar een link (via macro of directe knop naar een download locatie).
05-11-2019, 13:12 door Erik van Straten
Helaas toont ook Emotet hiermee aan dat protocollen als SPF, DKIM, DomainKeys, DMARC en ARC halve oplossingen zijn, die naast het hebben van bijwerkingen, minstens 1 unfixed bug (DMARC met 2 verschillende afzenderdomeinen in de From: header) en halfslachtige configuraties, in het nadeel van de ontvanger kunnen werken - namelijk als deze protocollen "pluspunten" geven in spamfilters.

Door Anoniem: Spamfilters missen Mallware. Dôh. Spam en Mallware zijn twee compleet verschillende dingen.

En SPF, DKIM en DMARC zijn mechanismen die moeten vast stellen of een mail source geautoriseerd is om mail namens een domein te versturen. Dat zegt he-le-maal niet over de inhoud. Het stelt hooguit (in het geval van DKIM) vast dat de content na het verlaten van de originerende mailserver de inhoud niet is veranderd.

Daarvoor moet naar de inhoud gekeken worden. [...]
Als je de resultaten van SPF etc. niet wilt meewegen in je antispamanalyse, wat zou je er dan überhaupt nog mee willen doen?
05-11-2019, 14:17 door Briolet
Door Erik van Straten: …Als je de resultaten van SPF etc. niet wilt meewegen in je antispamanalyse, wat zou je er dan überhaupt nog mee willen doen?

Dat is simpel beantwoord: Gewoon bouncen als de check niet klopt.

Omdat heel veel bedrijven hun configuratie niet op orde hebben, durven veel providers dit niet te bouncen in de angst correct bedoelde mail te bouncen. Maar reken maar dat bedrijven hun zaakjes wel op orde zullen houden als spf niet slechts voor een spamscore gebruikt wordt, maar echt de mail tegenhoud bij een falende check.
05-11-2019, 15:26 door Anoniem
Door Anoniem: Spamfilters missen Mallware. Dôh. Spam en Mallware zijn twee compleet verschillende dingen.
Lezen is inderdaad een kunst.
05-11-2019, 16:07 door _R0N_
Door Anoniem: Spamfilters? Ik snap dat het filteren van malware en van spam in dezelfde filter-infrastructuur kan worden uitgevoerd, en ook dat er spam is die malware bevat, maar zou je het tegenhouden van malware niet beter een malwarefilter kunnen noemen?

Spam is ongewenste mail.
Ik gok dat het wel de lading dekt.
05-11-2019, 17:36 door Erik van Straten
Door Briolet:
Door Erik van Straten: …Als je de resultaten van SPF etc. niet wilt meewegen in je antispamanalyse, wat zou je er dan überhaupt nog mee willen doen?

Dat is simpel beantwoord: Gewoon bouncen als de check niet klopt.
Ook als Mail From (waar SPF op checkt) geen domein bevat (leeg is, of alleen iets als "Postmaster")?
06-11-2019, 07:56 door Anoniem
Door Erik van Straten:
Door Briolet:
Door Erik van Straten: …Als je de resultaten van SPF etc. niet wilt meewegen in je antispamanalyse, wat zou je er dan überhaupt nog mee willen doen?

Dat is simpel beantwoord: Gewoon bouncen als de check niet klopt.
Ook als Mail From (waar SPF op checkt) geen domein bevat (leeg is, of alleen iets als "Postmaster")?

ja, meel zonder @.... is lokaal only en hoeft dus geen SPF te checken (je vertouwd jezelf niet jezelf te mailen?). meel die niet lokaal is heeft achter de @ of een hostname of een domein naam waar een nette MX record (en dus het liefst ook een SPF record) voor gedefineerd is.
06-11-2019, 09:33 door Erik van Straten - Bijgewerkt: 06-11-2019, 09:39
Door Anoniem:
Door Erik van Straten: Ook als Mail From (waar SPF op checkt) geen domein bevat (leeg is, of alleen iets als "Postmaster")?
ja, meel zonder @.... is lokaal only en hoeft dus geen SPF te checken [...]
E-mails met een leeg SMTP "mail from" veld hebben niets met lokale of van buiten het domein afkomstige e-mails te maken (zie https://tools.ietf.org/html/rfc5321#section-4.5.5 of zoek naar <> in die RFC). Met leeg bedoel ik <> , maar <postmaster> (niet compliant) heb ik ook wel eens gezien.

SPF (en dus ook de DMARC alignment check voor SPF) zijn kansloos bij spam die met een "mail from" veld zonder domeinnaam (zich bijv. voordoend als NDR) ontvangen wordt.
06-11-2019, 20:11 door Briolet
Door Erik van Straten: SPF (en dus ook de DMARC alignment check voor SPF) zijn kansloos bij spam die met een "mail from" veld zonder domeinnaam (zich bijv. voordoend als NDR) ontvangen wordt.

Hoezo kansloos? De SPF check is bedoeld om spoofing van een afzender te voorkomen. Als er geen afzender is, kan er per definitie geen gespoofde afzender zijn en is SPF ook niet van toepassing.

Als je SPF voor spam gebruikt kun je er voor kiezen dat alles zonder een positieve SPF check een hogere spamscore krijgt.
07-11-2019, 11:20 door Anoniem
Een leuk repositorium vind je hier: https://urlhaus.abuse.ch/browse/
Zie de blacklist vergelijkingen.

luntrus
07-11-2019, 16:36 door Erik van Straten
Door Briolet:
Door Erik van Straten: SPF (en dus ook de DMARC alignment check voor SPF) zijn kansloos bij spam die met een "mail from" veld zonder domeinnaam (zich bijv. voordoend als NDR) ontvangen wordt.

Hoezo kansloos? De SPF check is bedoeld om spoofing van een afzender te voorkomen. Als er geen afzender is, kan er per definitie geen gespoofde afzender zijn en is SPF ook niet van toepassing.
Er kan best een afzender zijn, namelijk in het (meestal door MUA's getoonde) From: veld.

Het "mail from" (AKA envelope-from AKA return-path) veld, waar SPF op checkt, en dat de gebruiker alleen ziet als hij de headers inpecteert, kan daarbij leeg zijn (of iets als <postmaster> bevatten).

Door Briolet: Als je SPF voor spam gebruikt kun je er voor kiezen dat alles zonder een positieve SPF check een hogere spamscore krijgt.
Maar dan praten we in cirkeltjes. Op 05-11-2019, 13:12 schreef ik: "Als je de resultaten van SPF etc. niet wilt meewegen in je antispamanalyse, wat zou je er dan überhaupt nog mee willen doen?"

Conclusie: de hele riedel aan protocollen als SPF, DKIM, DomainKeys, DMARC en ARC geven een vals gevoel van veiligheid als een of meer computers in een afzenderdomein makwaremails (met bijv. Emotet) staan te spammen. Met het grote aantal BEC's (Business Email Compromise) is het m.i. verstandig om je af te vragen of de nadelen van die protocollen nog wel kleiner zijn dan de voordelen, JUIST als ze de spamscore VERLAGEN als alles OK is (bij BEC is dat natuurlijk zo).

Spam is vervelend en zal wellicht ietsje toenemen als je SPF etc. niet langer meeweegt in je spamfilter, maar ik zie nauwelijks nog spam met vervalste SPF etc. records voorbijkomen (de meeste spam wordt ofwel verzonden vanaf domeinen die geen SPF, DKIM en DMARC records in DNS publiceren, ofwel de spammers hebben juist alles netjes voor elkaar voor hun -meestal short-lived en wegwerp-- afzenderdomeinen).

Daarentegen kunnen BEC-mails met malware (of links naar malware) dramatische gevolgen hebben voor ontvangende organisaties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.